三菱電機インフォメーションシステムズ株式会社の MELIL/CS 導入図書館における情報漏洩に関するさまざま

 
 さて。
 
 私が知りえた情報から,かいつまんで書く前に,おおよその状況を把握しておいてもらいたい。
 まず,前提として,岡崎市立中央図書館は今回の情報漏洩については被害者であること。
 第二に,今回の情報漏洩は二つの事件がひとまとめで扱われていること。
 第三に,この情報漏洩は拡大する可能性が極めて高いこと。
 第四に,親会社である三菱電機が責任を負うべき事件であること。
 
 まず第一に。本事件*1においては,岡崎市立中央図書館は被害者であるということを確認しておきたい。
 手元にある契約書のコピーを参照しよう。次の文言がある。同じ文書は,念力デバッグで活躍した三名の筆頭格,前田氏のblogにもある。

委託者岡崎市を甲とし、受託者三菱電機株式会社中部支社を乙とし、次の条項により契約を締結する。
(中略)
 
(再委託の禁止)
第5条 乙は、甲の承諾を得た場合を除き、自ら個人情報の処理を行うものとし、 第三者にその処理を委託してはならない。
2 乙は、業務の一部を第三者に委任し、又は請け負わせた場合、甲に対して 再委託先の行為について全責任を負うものとする。
(個人情報の保護)
第7条 乙は、この契約による個人情報の取扱いについては、別記 「個人情報取扱特記事項」を守らなければならない。
(目的外使用の禁止)
第8条 乙は、委託業務遂行上甲から提供された資料及びデータ(以下「資料等」という。)を他の用途に使用又は第三者に提供若しくは譲渡してはならない。
(複写及び複製の禁止)
第9条 乙は、甲の承諾なくして資料等を複写又は複製してはならない。

 三菱電機本体の契約違反である。岡崎市立中央図書館は,三菱電機本体の契約違反によって利用者の個人情報を転用され,漏洩された。
 
 転用については,新たに情報を示す必要があるだろう。
 
 私の手元に,「岡崎市立図書館シンコンピュータシステム構築事業 ご提案書」という資料がある。三菱電機株式会社 中部支社名で岡崎市に提案されたもので,平成16年7月7日の日付が入っている。
 この資料をめくると,15ページに「弊社の個人情報保護における社則及び研修」という資料がある。コピー品質がいまひとつのためよく読めないが,1998年11月の事例から2004年2月の事例まで6例を挙げ,三菱電機として「社則・セキュリティポリシー」「ISMSプライバシーマークの取得」「各種セキュリティソリューションの提供」「外注先を含めたコンプライアンスの徹底」の四点をまとめて「三菱電機個人情報保護方針」として,個人情報保護を謳っている。
 
 さて,少し前に戻ると9ページ目に「弊社の環境整備状況」という資料がある。一部引用しておこう。

岡崎市立図書館様向けの専用開発環境を整備いたします。稼動するシステムのミニマムセットを弊社にも保有し,あらゆる試験を行ったうえ高品質なシステムをご提供いたします。

 つまり,岡崎市のシステムメンテナンス用に,「専用の環境を作って」対応する,と謳っているのだ。
 さらに10ページ目では,次のように謳っている。

開発環境を,そのまま保守環境として利用いたします。
障害やトラブル発生に備え,再現環境を社内に保有し,迅速な対応をとることができるよう評価環境を社内に保有します。

データについては弊社テストデータを使用します。
個人情報を含むお客様のデータは使用いたしません。

 大部分は機能説明だが,ここに挙げたいくつかの点において注目すべきだろう。
 
 ひとつは,「三菱電機中部支社」名で契約を取っていること。
 ひとつは,岡崎市立中央図書館用の検証環境を作っていたこと。
 ひとつは,検証環境は開発環境をそのまま転用していたこと。
 ひとつは,検証環境に個人情報が含まれないようにしていたはずであること。
 
 これらがことごとく守られていない。
 契約において定められた内容が反故にされていたことは明らかだ。
 提案書がそのまま採用されたと断定するのは難しいが,提案のとおりであったなら,岡崎市立中央図書館でのメンテナンスは現場ではなく保守用環境で行われ,その結果が岡崎市立中央図書館に反映されていたはずであるが,そうではなかったことが推測される。
 また,開発環境として使っていた岡崎市のミラーが,他の図書館の開発環境に転用されたことが強く疑われる。
 全て,三菱電機が責任を持つべき範囲にあることだ。岡崎市は個人情報漏洩において一方的な被害者にあたる。
 
 
 第二に,今回の事件が二つの事件をひとまとめにして扱われていることに注意しなければならない。
 まず,情報漏洩が起きたのは,「三菱電機インフォメーションシステムズが他の図書館に岡崎ミラーをインストールした」段階で発生していることを認識する必要がある。
 第二に,下請けとなる他社が,これまでに確認されているだけで三箇所,AnonymousFTP を稼動させ,個人情報を漏洩しうる状況に置いていたことを認識する必要がある。
 
 つまり,MDISによる個人情報漏洩と,管理会社による個人情報漏洩の,二つの事件がひとまとめに扱われている。
 
 これらは分離して扱うべきだろう。
 
 
 第三に,この個人情報漏洩は拡大する可能性が極めて高いことを指摘しておかなければならない。
 すでに,http://www26.atwiki.jp/librahack/pages/30.html で一部示してあるが,複数の図書館においてコピー,孫コピーが行われていることを確認している。
 つまり,岡崎で起きた事が他の MELIL/CS 導入図書館でおきていないとは断定できない状況にある。
 特に神奈川県相模原市立図書館は蔵書も多く,利用者も多いことが予測される。また,相模原対応で大きなカスタマイズが行われ,以後しばらくは相模原テンプレートが利用された形跡がある。
 同様に,東京都渋谷区立図書館の利用者情報が全国に散逸した可能性も否定できない。
 今後,調査が進めば,第二第三の情報漏洩が発覚してもおかしくない。
 
 
 第四に,親会社である三菱電機が責任を負うべき事件であることを指摘しておく。
 すでに第一の部分で指摘済みだが,岡崎市立中央図書館の導入,開発,データ移行等について,三菱電機中部支社が受託している。契約書に明記されている通りだ。
 情報漏洩時期の契約に基づき,これらの瑕疵に対して責任を取るべきは三菱電機であるといえる。
 
 
 ところで,MDIS は「岡崎市立中央図書館で実施した最新の対策を本社のプログラムライブラリに反映させた際に,不要なデータも同時に吸い上げた」としているが,先のエントリで述べたように,MDIS*2は本社に検証環境を持ち,そこでメンテナンスを実施して,その結果を岡崎市立中央図書館に反映させる,という手順を取っているはずだった。
 
 つまり,岡崎市立中央図書館のデータがMDISに渡るはずがないのだ。
 
 MDIS から岡崎市立中央図書館へのフィードバックはあっても,その逆がない,という保守形態だったはずだ。では,なぜ情報が漏洩したのか?
 
 何らかの理由で,MDIS に岡崎市立中央図書館の個人情報が渡ったはずだ。
 かつ,「岡崎市立中央図書館保守用環境」がそのまま他の図書館の開発環境に転用されたはずだ。
 
 この二点,岡崎市三菱電機の契約を(手持ちの資料の範囲で)探してみても,これを是とする資料が見つからない。
 
 つまり,MDIS(そして,三菱電機本体)は,少なくとも岡崎市立中央図書館利用者の個人情報漏洩の経緯について,ウソをついていると強く推測することができる。
 
 さて。
 今回,タイヤはいくつ空を飛んでいるんだろうか。*3
 

*1:岡崎市立中央図書館利用者個人情報漏洩事件

*2:移管された後。当時は三菱電機本体が実施していたと思われる

*3:@hayashi_t 氏から次のツッコミを受けたので取り消し:@Vipper_The_NEET MFTBC(三菱ふそうトラック・バス)は扶桑系のルーツは持つものの現在はダイムラーAGの子会社。彼らを #librahack で貶めるのは不当かつ不適切だからblogから消しておくことを強く期待するよ

 三菱電機お詫び文のウソ

 
 とりあえず,まるっと引用しておきます。
 http://www.mitsubishielectric.co.jp/oshirase/20100928/

子会社の個人情報漏洩について(お詫び)

2010年9月28日
三菱電機株式会社

 当社の子会社である三菱電機インフォメーションシステムズ株式会社が、お客様保有の個人情報を不適切に処理し、この個人情報が漏洩していたことが判明しました。かかる事態を引き起こしたことを、ここに深くお詫び申し上げます。 当社は、本件を重く受け止め、子会社における業務のチェックと改善に向けた指導を徹底し、再発防止に取り組んでまいります。

三菱電機インフォメーションシステムズ株式会社へのリンク
http://www.mdis.co.jp/news/press/2010/0928.html

 いきなりウソがあります。個人情報漏洩当時,該当の個人情報を扱ったのは三菱電機本体ですので,MDISは関係ありません。漏洩時期を見るとデータコンバートの直後ですので,作業を請け負った三菱電機本体が責任を負うべきことです。
 根拠としてデータ移行時の契約書(市立図書館 新業務システム セットアップ及びデータ移行業務契約書)を再掲しておきます。

委託者岡崎市を甲とし、受託者三菱電機株式会社中部支社を乙とし、次の条項により契約を締結する。
 
(中略)
 
(再委託の禁止)
第5条 乙は、甲の承諾を得た場合を除き、自ら個人情報の処理を行うものとし、 第三者にその処理を委託してはならない。
2 乙は、業務の一部を第二者に委任し、又は請け負わせた場合、甲に対して 再委託先の行為について全責任を負うものとする。
(個人情報の保護)
第7条 乙は、この契約による個人情報の取扱いについては、別記 「個人情報取扱特記事項」を守らなければならない。
(目的外使用の禁止)
第8条 乙は、委託業務遂行上甲から提供された資料及びデータ(以下「資料等」という。)を他の用途に使用又は第三者に提供若しくは譲渡してはならない。
(複写及び複製の禁止)
第9条 乙は、甲の承諾なくして資料等を複写又は複製してはならない。

 つまり,個人情報が漏洩した時期に岡崎市立中央図書館の個人情報を取り扱っていたのは三菱電機本体であるので,三菱電機本体が個人情報漏洩の主犯格であるといえます。
 つまり

 当社の子会社である三菱電機インフォメーションシステムズ株式会社が、お客様保有の個人情報を不適切に処理し

 この部分はウソです。
 

 三菱電機インフォメーションシステムズお詫び文が示している問題

 
 こちらは関係する部分だけ引用しておきます。
 http://www.mdis.co.jp/news/press/2010/0928.html

弊社図書館システムにおける個人情報の混入及び流出について(お詫び)
 
2010年9月28日
 
このたび、弊社が開発、販売する図書館システム「MELIL/CS」(メリルシーエス)のプログラムライブラリにおいて、岡崎市立中央図書館利用者様の個人情報を他の37の図書館様に混入させたことが判明致しました。当該情報については、既に削除を実施済みです。
 
一方、削除前のデータが弊社のパートナー会社が行なったシステム保守操作の誤りによりインターネットからアクセス可能な状態となり、2ヶ所の図書館のWebシステムから個人情報がダウンロードされたことを確認致しました。
 
関係する皆様には多大なご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。
 
該当する個人情報
岡崎市立中央図書館様の利用者様のうち
 
* 延滞予約本リストデータ 159名分(2005年6月末時点)
氏名、年齢、電話番号、貸し出し図書名、貸出日、返却予定日など
* 予約取置本リストデータ 4名分(2005年6月末時点)
氏名、電話番号、予約図書名、予約日付、ストック日付など
 
1. 経緯
 
岡崎市立中央図書館様のシステム調整・試験を行った際、プログラムライブラリの修正結果を元のプログラムライブラリに反映させました。
岡崎市立中央図書館様の個人情報データが残存していることに気付かず、製品版として、他の図書館様に納入しておりました。
 (後略)

 「プログラムライブラリ」ですが,プログラムのライブラリは通常データを含みません。MELIL/CS の内部的には,印刷などのために一時ファイルとして MDB を作成しているようでした。おそらく,Access の帳票出力機能を使って印刷を行うためでしょう。その中間ファイルが残ってしまったものと思われます。
 が,実務で利用するファイルであれば,仮に万が一岡崎市立中央図書館の利用者情報が混在したとしても,次の印刷操作で内部情報は実務上の情報に書き換えられるはずです。
 しかし,実際には五年間も痕跡が残ってしまいました。それは何故でしょうか。
 「不要なファイルまで混在して販売していた」からです。
 WEB サーバに館内業務用のファイルが混在していたため,それが館内業務で更新されることなく残ってしまっていたといえます。
 同時に,WEB サーバに館内業務のデータを移す理由がないことから,「プログラムライブラリの修正結果を元のプログラムライブラリに反映させました」という部分が不正確であると指摘できます。
 つまり,経緯にウソが含まれています。
 
 さらに,私の手元にある提案書などを参照すると,岡崎市立中央図書館へのサポート体制は,「三菱の社内に置いたミニマムセットで試験し,その結果を岡崎市立中央図書館に反映する」というものであったことが明記されています。これがそのまま運用に反映されていたとすると,「岡崎市立中央図書館様のシステム調整・試験を行った際、プログラムライブラリの修正結果を元のプログラムライブラリに反映させました。」という経緯は,勝手に個人情報を持ち出したという点でまず契約違反であり,次に本来の保守・メンテナンス作業と違うということになります。いずれにしても,問題であると言えるでしょう。
 
 そして「岡崎市立中央図書館様の個人情報データが残存していることに気付かず、製品版として、他の図書館様に納入しておりました。」という部分。
 岡崎で作ったシステムを転売したといえます。
 本来の意味でのパッケージソフトであれば,岡崎カスタムの部分はあくまでも岡崎所有のものになります。先に挙げた契約書にも「乙は、甲の書面による事前の同意を得なければ、著作権法第18条第1項に規定する公表権を行使することができない。」との文面があります。これは著作権法を引いておきましょう。

(公表権)
第18条 著作者は、その著作物でまだ公表されでいないもの(その同意を得ないで公表された著作物を含む。以下この条において同じ。)を公衆に提供し、又は提示する権利を有する。当該著作物を原著作物とする二次的著作物についても、同様とする。

 つまり,「岡崎市立中央図書館向けにカスタマイズした部分については,岡崎市の許可無く公衆に提供できない」という意味です。
 どこから見てもアウトです。
 

 三菱電機と三菱電機インフォメーションシステムズの説明責任

 
 少なくとも以下の点について,二社は説明する必要があるでしょう。
 

 

 まだあった!図書館利用者情報漏洩

 
 9/28 報道の岡崎市立中央図書館利用者情報漏洩事件の情報を受けて,手元にある宮崎県えびの市民図書館の情報を検索したところ,岡崎市立中央図書館以外の個人情報を発見しました。
 漏洩していた個人情報は,えびの市民図書館の利用者1812人分。ヘッダ部分から,漏洩した情報は次の内容でした。

利用者コード 利用者氏名カナ 性別 元号 生年月日 利用者氏名漢字 保護者名 地区コード
郵便番号 住所1 住所2 電話番号1 電話番号2 住所確認 在籍区分 利用者区分
利用者区分2 登録館 登録日 登録時間 登録期限フラグ 登録期限日 登録期限切替日
登録期限切替時間 貸出限度冊数 貸出限度日数 利用回数累計 貸出冊数累計
予約回数累計 最終督促日 督促回数 除籍区分 除籍日 最終利用日 連絡コード 第2連絡先
異動年月日 再発行日 再発行回数 第一代表者名 第一代表者電話 第一代表者住所
第二代表者名 第二代表者電話 第二代表者住所 登録フラグ 修正フラグ
利用者氏名カナキー 電話番号1キー

 登録日情報は1993年から1997年まで。最終利用日に2008年のデータがありました。データは Access MDB の形で保存されており,一部が壊れていました。そこで,Excel Book 形式にエクスポートして,内容を確認しました。
 また,それとは別に督促状作成用のテキストデータがあり,114名のえびの市民図書館利用者の個人情報が漏洩していました。ヘッダ部分から,漏洩した情報は次の内容でした。

利用者コード 氏名漢字2 郵便番号 住所1 住所2 図書館名 図書館電話番号 開館時間1 開館時間2 開館時間3 資料コード1 返却予定日1 書名漢字1 資料コード2 返却予定日2 書名漢字2 資料コード3 返却予定日3 書名漢字3 資料コード4 返却予定日4 書名漢字4 資料コード5 返却予定日5 書名漢字5 資料コード6 返却予定日6 書名漢字6 資料コード7 返却予定日7 書名漢字7 資料コード8 返却予定日8 書名漢字8 資料コード9 返却予定日9 書名漢字9 資料コード10 返却予定日10 書名漢字10 資料コード11 返却予定日11 書名漢字11 資料コード12 返却予定日12 書名漢字12 資料コード13 返却予定日13 書名漢字13 資料コード14 返却予定日14 書名漢字14 資料コード15 返却予定日15 書名漢字15 資料コード16 返却予定日16 書名漢字16

 
 1812名のデータと114名のデータに重複があるかどうかまでは確認していません。
 
 えびの市民図書館は篠栗町立図書館と同じく,千代田興産株式会社が運営を委託されており,千代田興産株式会社所有のドメインで蔵書検索が行われていました。
 千代田興産株式会社は AnonymousFTP を設定して,MELIL/CS 新版の主要部分を公開状態に置いていました。WEB サーバ上で AnonymousFTP が稼動し,その公開領域に個人情報が放置されていたといえます。
 
 この件については朝日新聞神田記者を通じて千代田興産株式会社およびえびの市民図書館に連絡済みで,また,日本図書館協会及び図書館問題研究会が組織的調査を行おうとしています。
 
 図書館の蔵書検索 WEB システム MELIL/CS の不適切な運用管理に係る個人情報漏洩は,岡崎とえびのだけで収まるのでしょうか?
 
 その他の図書館のコピペ状況については,岡崎市立中央図書館事件 議論と検証のまとめを参照してください。